Fintech Finastra wieder online ohne Lösegeld zu zahlen | VPNoverview.com

Das in London ansässige Finanztechnologieunternehmen Finastra wurde Mitte März Opfer eines Ransomware-Angriffs. Die Angreifer nutzten die langjährigen Schwachstellen in der Sicherheitsinfrastruktur von Finastra. Finastra war relativ schnell wieder online, ohne das Lösegeld bezahlt zu haben.


Wie ist es passiert

Finastra ist ein in London ansässiges Fintech-Unternehmen mit Niederlassungen in 42 Ländern weltweit und über 10.000 Mitarbeitern. Zu den mehr als 9.000 Kunden zählen 90 der 100 weltweit führenden Banken. Trotz ihrer Größe war Finastra vor dem Angriff einige Zeit mit bekannten Cybersicherheits- und Datenschutzrisiken verbunden.

Im vergangenen Jahr führte Bad Packets, ein Unternehmen für Bedrohungsinformationen, einen internetweiten Scan durch, bei dem verschiedene Sicherheitslücken bei Finastra aufgezeigt wurden. Laut Bad Packets hat Finastra seit geraumer Zeit ungepatchte Server ausgeführt. Sie stellten außerdem fest, dass auf Finastra immer noch veraltete Pulse Secure VPN- und Citrix-Server ausgeführt wurden. Anfang dieses Jahres berichtete Bad Packets, dass auf Finastra noch vier veraltete Citrix Server ausgeführt wurden.

Beide oben genannten Server haben Schwachstellen dokumentiert, die in der Vergangenheit von Hackern ausgenutzt wurden. Diese Schwachstellen in der Sicherheitsinfrastruktur von Finastra könnten möglicherweise auf den jüngsten Ransomware-Angriff von Fianstra zurückzuführen sein.

Warum wurden die Sicherheitslücken nicht repariert??

Eine Person, die mit den Ermittlungen in Finastra nach dem Angriff vertraut war, sprach Anfang der Woche mit Bloomberg Businessweek. Die Person teilte der Veröffentlichung mit, dass das Sicherheitsteam von Finastra vor einiger Zeit empfohlen habe, die Sicherheitslücken im Management zu beheben. Das Management entschied sich jedoch, die Sicherheitsanfälligkeiten nicht zu reparieren, da befürchtet wurde, dass die Änderungen zu Störungen in älteren Anwendungen führen würden.

Wie wurde der Angriff verübt??

Angreifer erhielten Zugriff auf die Systeme von Finastra, indem sie Mitarbeiterpasswörter erfassten und Hintertüren auf Dutzenden der kritischen Server des Unternehmens installierten. Die Angreifer nutzten dann bereits vorhandene Sicherheitslücken, um sich im Netzwerk des Unternehmens zu bewegen. Der Angriff blieb drei Tage lang unentdeckt, doch schließlich warnten ungewöhnliche Aktivitäten auf den Cloud-Servern von Finastra das Sicherheitsteam vor möglichen Problemen.

Am selben Tag gab Finastra eine Erklärung ab, die lautete: „Wir möchten unsere geschätzten Kunden darüber informieren, dass wir eine mögliche Sicherheitsverletzung untersuchen. Am 20. März 2020 um 3:00 Uhr EST wurden wir auf anomale Aktivitäten in unserem Netzwerk aufmerksam gemacht, die die Integrität unserer Rechenzentren gefährdeten. Aus diesem Grund und zum Schutz unserer Kunden haben wir schnelle und strenge Abhilfemaßnahmen ergriffen, um den Vorfall einzudämmen und zu isolieren, während wir weitere Untersuchungen durchführen. “

Das Sicherheitsteam stellte fest, dass Angreifer begonnen hatten, das Netzwerk des Unternehmens mit der Ryuk-Ransomware zu infizieren. Infolgedessen wurde beschlossen, alle infizierten Server offline zu schalten, um die Verbreitung zu stoppen. Tom Kilroy, Chief Operating Officer von Finastra, gab später eine Erklärung ab, in der es hieß: „Aus Vorsicht haben wir sofort gehandelt, um einige unserer Server offline zu schalten, während wir weiter nachforschen. Wir haben auch die zuständigen Behörden informiert und arbeiten mit ihnen zusammen. Wir stehen in direktem Kontakt mit allen Kunden, die aufgrund von Betriebsstörungen betroffen sein könnten. “ Finastra gab außerdem an, dass sie weder Beweise dafür gefunden haben, dass auf Kunden- oder Mitarbeiterdaten zugegriffen oder diese herausgefiltert wurden, noch glauben wir, dass die Netzwerke unserer Kunden betroffen waren.

Finastra zahlt kein Lösegeld

Da Finastra relativ schnell auf den Angriff aufmerksam wurde, konnte es potenziell infizierte Server identifizieren und isolieren. Dies beinhaltete den Angriff auf eine begrenzte Anzahl von Servern, die dann schnell offline geschaltet wurden. Als nächstes desinfizierte Finastra nach Möglichkeit alle Offline-Server mit Malware und erstellte die anderen aus Backups neu.

Diese schnellen Maßnahmen ermöglichten es dem Unternehmen, wichtige Dienste innerhalb weniger Tage wieder online zu stellen, ohne das Lösegeld zu zahlen. “Wir haben die Kontrolle über unser Netzwerk durch die Maßnahmen behalten, die wir ergriffen haben, um unsere Server offline zu schalten, und unsere Fähigkeit, den Betrieb in relativ kurzer Zeit wieder aufzunehmen, spiegelt dies wider”, sagte ein Unternehmenssprecher gegenüber Bloomberg Businessweek. Andere Organisationen wie die Maastricht University, Travelex und die Stadt New Orleans haben Wochen gebraucht, um wieder online zu gehen.

Durch die Abschaltung wesentlicher Dienste anstelle der Zahlung des Lösegelds übernahm Finastra eine Art von Kosten, um andere, möglicherweise schwerwiegendere Kosten zu vermeiden. “Das Lösegeld bezahlen”, fuhr der Sprecher fort, “macht Sie nur zu einem größeren Ziel für das nächste Mal.”

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me